安全引导在内核模式rootkit检测中的有效性

Question

有了这么多新的补丁和更新，安全引导对检测内核模式的rootkit有什么影响？

Answer 1

Secure由几个协同工作的组件组成( https://technet.microsoft.com/en-us/windows/dn168167.aspx是不同组件如何工作的来源)。由于内核模式保护的安全性是垂直工作的(从引导程序到引导程序)，所以要求底层完美地工作。

1. 安全引导
   • 当PC打开时，UEFI Bios会找到引导加载程序。只有在使用可信证书对引导加载程序进行签名或用户已批准引导加载程序的数字签名时，Bios才会运行引导加载程序。这可以防止和修改/非官方引导程序，理论上是停止引导包。但是，只有在安全实现正确的情况下，这才有效。一些谷歌搜索发现了一些允许程序绕过安全启动的方法的报告。
     • http://www.pcworld.com/article/2337180/new-attack-methods-can-brick-systems-defeat-secure-boot-researchers-say.html
     • http://www.pcworld.com/article/2045793/researchers-demo-exploits-that-bypass-windows-8-secure-boot.html
     • http://www.pcworld.com/article/2948092/security/hacking-teams-malware-uses-uefi-rootkit-to-survive-os-reinstalls.html
     • http://www.intelsecurity.com/resources/pr-bios-secure-boot-attacks-uncovered.pdf

我将把对这些文章的评价留给读者。此外，似乎有一些文章提到了几个主板的UEFI实现中的bug。如果我们假设存在这些漏洞，那么所有进一步的安全启动步骤都会受到影响，包括内核模式的根-kit保护。

1. 可信引导
   • 然后，引导加载程序验证内核的数字签名。然后内核验证Windows进程。这包括内核驱动程序、启动文件和ELAM系统。如果这些文件中的任何一个已损坏，计算机将自动尝试修复/替换它们。如果失败，计算机将拒绝启动。但是，这假设引导加载程序是安全的。如果这个步骤被破坏了，那么这个步骤也可以被绕过。

2. 早期推出反恶意软件(ELAM)
   • ELAM在加载非Microsoft启动驱动程序之前启动防病毒软件。一旦启动ELAM，它就会扫描加载的驱动程序。从理论上讲，这可以防止恶意软件感染的驱动程序躲过反病毒软件，而该软件通常在启动后才会加载。ELAM可以加载微软(Windows，Endpoint等)。或者非微软反恶意软件驱动程序。如果驱动程序包含恶意软件或不受信任，ELAM将阻止其加载。这是安全的一点，你相信反病毒软件检测驱动程序的漏洞和恶意软件，这不是保证新的漏洞。

3. 测量引导
   • 衡量引导并不能防止利用漏洞，相反，它有助于发现这些漏洞。使用已测量的启动，Windows将有关启动进程的日志发送到安全服务器。这包括引导文件的散列，允许检测到任何更改。为了使其工作，您需要a.有一个安全的服务器设置和b.积极监视启动日志。

这些潜在的问题并不意味着安全启动不起作用。在野外，我发现很少有关于UEFI系统的功能rootkits或bootkit的参考资料。此外，18或19 (https://www.microsoft.com/security/sir/default.aspx)不报告任何rootkits或bootkits。当然，他们也没有在报告中声称安全启动解决了这些问题。